Nosecone: eine Bibliothek zum Festlegen von Sicherheitsheadern in Next.js, SvelteKit, Node.js, Bun und Deno

Wir freuen uns, Nosecone ankündigen zu können, eine Open-Source-Bibliothek, die das Festlegen von Sicherheitsheadern – wie Content Security Policy (CSP) und HTTP Strict Transport Security (HSTS) – für Anwendungen, die mit erstellt wurden, unkompliziert macht Next.js, SvelteKit und andere JavaScript-Frameworks mit Bun, Deno oder Node.js.

Während Sie Header jederzeit manuell festlegen können, nimmt die Komplexität zu, wenn Sie umgebungsspezifische Konfigurationen, dynamische Nonces für Inline-Skripte oder -Stile benötigen oder viele Variationen haben, die eine benutzerdefinierte Konfiguration erfordern.

Ob Sie sich an die strengeren Sicherheits-Header-Anforderungen von PCI DSS 4.0 anpassen, das 2025 in Kraft tritt, oder einfach nur die Sicherheit Ihrer App verbessern möchten, Nosecone bietet:

• Eine typsichere API mit pragmatischen Standardeinstellungen.
• Middleware-Adapter für Next.js.
• Hooks für SvelteKit konfigurieren.
• Einfache Integration mit Webservern in Bun, Deno und Node.js.

Sie können Nosecone als eigenständige Bibliothek oder zusammen mit der Arcjet-Sicherheit als Code-SDK verwenden, um die Abwehrkräfte Ihrer App gegen Angriffe, Bots und Spam weiter zu stärken.

Lesen Sie unsere Kurzanleitung und überprüfen Sie den Quellcode auf GitHub.

Sicherheitsheader

Nosecone bietet eine allgemeine JS-API, einen Middleware-Adapter für Next.js und Konfigurations-Hooks für SvelteKit, um sinnvolle Standardeinstellungen festzulegen. Sie können sie lokal testen und die Konfiguration einfach als Code anpassen.

Nosecone ist Open Source und unterstützt die folgenden Sicherheitsheader:

• Inhaltssicherheitsrichtlinie (CSP)
• Cross-Origin-Embedder-Policy (COEP)
• Cross-Origin-Opener-Policy
• Cross-Origin-Resource-Policy
• Origin-Agent-Cluster
• Referrer-Richtlinie
• Strenge Transportsicherheit (HSTS)
• X-Content-Type-Optionen
• X-DNS-Prefetch-Control
• X-Download-Optionen
• X-Frame-Optionen
• X-Permitted-Cross-Domain-Policies
• X-XSS-Schutz

Die Standardeinstellungen sehen so aus:

HTTP/1.1 200 OK
content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests;
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
cross-origin-resource-policy: same-origin
origin-agent-cluster: ?1
referrer-policy: no-referrer
strict-transport-security: max-age=31536000; includeSubDomains
x-content-type-options: nosniff
x-dns-prefetch-control: off
x-download-options: noopen
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-xss-protection: 0
Content-Type: text/plain
Date: Wed, 27 Nov 2024 21:05:50 GMT
Connection: keep-alive
Keep-Alive: timeout=5
Transfer-Encoding: chunked

Festlegen der Sicherheitsheader von Next.js

Nosecone stellt einen Next.js-Middleware-Adapter zum Festlegen der Standardheader bereit.

Installieren Sie mit npm i @nosecone/next und richten Sie dann diese middleware.ts-Datei ein. Einzelheiten finden Sie in den Dokumenten.

import { createMiddleware } from "@nosecone/next";

// Remove your middleware matcher so Nosecone runs on every route.

export default createMiddleware();

SvelteKit-Sicherheitsheader festlegen

Nosecone bietet eine CSP-Konfiguration und einen Hook zum Festlegen der Standardsicherheitsheader in SvelteKit.

Installieren Sie mit npm i @nosecone/sveltekit und richten Sie dann diese svelte.config.js-Datei ein. Einzelheiten finden Sie in den Dokumenten.

import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"

/** @type {import('@sveltejs/kit').Config} */
const config = {
  preprocess: vitePreprocess(),

  kit: {
    // Apply CSP with Nosecone defaults
    csp: csp(),
    adapter: adapter(),
  },
};

export default config;

Wenn der CSP in der SvelteKit-Konfiguration festgelegt ist, können Sie dann die anderen Sicherheitsheader als Hook in src/hooks.server.ts einrichten

HTTP/1.1 200 OK
content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests;
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
cross-origin-resource-policy: same-origin
origin-agent-cluster: ?1
referrer-policy: no-referrer
strict-transport-security: max-age=31536000; includeSubDomains
x-content-type-options: nosniff
x-dns-prefetch-control: off
x-download-options: noopen
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-xss-protection: 0
Content-Type: text/plain
Date: Wed, 27 Nov 2024 21:05:50 GMT
Connection: keep-alive
Keep-Alive: timeout=5
Transfer-Encoding: chunked

Festlegen von Bun-Sicherheitsheadern

Nosecone kann mit Ihrem Bun-Webserver verbunden werden, um die Sicherheitsantwort-Header direkt festzulegen.

Installieren Sie es mit Bun Add Nosecone und fügen Sie es dann Ihrem Server hinzu. Einzelheiten finden Sie in den Dokumenten.

import { createMiddleware } from "@nosecone/next";

// Remove your middleware matcher so Nosecone runs on every route.

export default createMiddleware();

Deno-Sicherheitsheader festlegen

Nosecone arbeitet mit Deno Serve zusammen, um die Sicherheitsheader festzulegen. Installieren Sie deno add npm:nosecone und fügen Sie dies dann Ihrem Server hinzu. Einzelheiten finden Sie in den Dokumenten.

import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"

/** @type {import('@sveltejs/kit').Config} */
const config = {
  preprocess: vitePreprocess(),

  kit: {
    // Apply CSP with Nosecone defaults
    csp: csp(),
    adapter: adapter(),
  },
};

export default config;

Festlegen der Sicherheitsheader von Node.js

Nosecone kann auch mit Node.js-Anwendungen funktionieren, aber wenn Sie Express.js (allein oder mit Remix) verwenden, empfehlen wir die Verwendung von Helmet, das einen Großteil unserer Arbeit an Nosecone beeinflusst hat.

Installieren Sie mit npm i Nosecone und legen Sie dies dann auf Ihrem Node.js-Server fest. Einzelheiten finden Sie in den Dokumenten.

import { createHook } from "@nosecone/sveltekit";
import { sequence } from "@sveltejs/kit/hooks";

export const handle = sequence(createHook());

Mitwirken

Nosecone ist Open Source, Sie können also gerne Probleme für Verbesserungen oder Änderungen einreichen. Wir sind auch auf Discord, wenn du Hilfe brauchst!

Das obige ist der detaillierte Inhalt vonNosecone: eine Bibliothek zum Festlegen von Sicherheitsheadern in Next.js, SvelteKit, Node.js, Bun und Deno. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!